WordPress 보안 실수 10가지와 이를 피하는 방법
게시 됨: 2020-10-23WordPress 보안 실수는 저지르기 쉽습니다. WordPress 보안에서 가장 흔한 실수는 오래된 정보, 일반적인 WordPress 보안 신화 또는 WordPress 보안 모범 사례를 알지 못하기 때문일 수 있습니다.
WordPress 자체는 안전하지만 WordPress 보안 실수를 피하려면 사이트 소유자의 약간의 노력이 필요합니다. 이 게시물에서 우리는 10가지 WordPress 보안 실수를 방지하는 방법에 대한 팁을 다룰 것입니다.
뛰어 들어 봅시다. WordPress 호스트의 품질에서 WordPress 관리자 로그인, 사용하는 테마 및 플러그인에 이르기까지 모든 것을 다룰 것입니다.
1. 열악한 호스팅 선택
모든 웹 호스트가 동일하게 생성되는 것은 아니며 가격만으로 하나를 선택하면 WordPress 보안 실수로 장기적으로 더 많은 비용이 들 수 있습니다.
대부분의 공유 호스팅 환경은 안전하지만 일부는 사용자 계정을 제대로 분리하지 않습니다. 사용자 계정이 제대로 분리되지 않은 경우 하나의 손상된 계정이 해당 공유 서버의 모든 웹사이트를 다운시킬 수 있습니다.
호스트는 최신 보안 패치를 적용하고 서버 및 파일 보안과 관련된 기타 중요한 호스팅 보안 모범 사례를 따라야 합니다.
열악한 호스팅 선택을 피하는 방법
견고한 보안 기록을 갖춘 평판 좋은 웹사이트 호스트를 선택하십시오.
2. WordPress 백업 계획이 없는 경우
백업과 보안은 실제로 관련이 있는 것처럼 들리지 않습니다. 하지만 랜섬웨어 공격 후 WordPress 웹사이트를 백업하면 베이컨을 정말 절약할 수 있습니다.
랜섬웨어 공격 후 백업을 하면 베이컨을 정말 절약할 수 있습니다.
랜섬웨어 공격은 해커가 웹사이트의 파일을 암호화하여 파일과 웹사이트에 액세스할 수 없도록 만드는 것입니다. 웹사이트에 다시 액세스하려면 파일의 암호를 해독할 키가 필요합니다. 막대한 비용을 지불하면 해커가 기꺼이 당신에게 열쇠를 제공할 것입니다.
WordPress 웹 사이트를 백업하면 웹 사이트가 몸값을 받기 전 상태로 웹 사이트를 롤백할 수 있습니다. 요구된 몸값을 지불하지 않고도 웹사이트에 다시 액세스할 수 있습니다. #베이컨저장
웹사이트 백업이 없는 것을 피하는 방법
웹 사이트를 정기적으로 백업하는 일정을 만드십시오.
3. 안전하지 않은 로그인
WordPress 로그인은 모든 WordPress 사이트에서 가장 공격을 많이 받고 잠재적으로 가장 취약한 부분입니다. 기본적으로 WordPress에는 누군가가 할 수 있는 로그인 시도 실패 횟수를 제한하는 기능이 내장되어 있지 않습니다. 공격자가 할 수 있는 로그인 시도 실패 횟수에 대한 제한 없이 성공할 때까지 사용자 이름과 암호를 끝없이 시도할 수 있습니다.
WordPress 로그인은 집 현관과 매우 유사합니다. 현관문에 자물쇠가 없으면 누구든지 집에 바로 들어와서 가구를 옮기고 물건을 부수고 TV를 훔치는 일이 쉬울 것입니다. 도둑이 될 것 같은 사람이 집에 침입하는 것을 더 어렵게 만들기 위해 현관문에 자물쇠를 추가하는 것이 합리적입니다.
안전하지 않은 로그인을 피하는 방법
잘못된 로그인 시도를 제한하려면 WordPress 보안 플러그인을 사용하십시오.
4. 자동화된 봇 공격에 대한 보호 기능 없음
봇은 특정 작업 목록을 수행하도록 프로그래밍된 소프트웨어입니다. 개발자는 개발자가 시작하도록 지시할 필요 없이 봇이 자동으로 따를 일련의 지침을 만듭니다. 봇은 반복적이고 일상적인 작업을 우리보다 훨씬 빠르게 수행합니다.
이러한 봇 중 일부는 다음과 같은 사악한 동기로 프로그래밍되어 있습니다.
Brute Force Bots 는 공격할 WordPress 로그인을 찾기 위해 인터넷을 검색합니다.
콘텐츠 스크래핑 봇 은 사용자의 허가 없이 웹사이트의 콘텐츠를 다운로드하도록 프로그래밍되어 있습니다. 봇은 공격자의 웹사이트에서 사용할 콘텐츠를 복제하여 SEO를 개선하고 사이트 트래픽을 훔칠 수 있습니다.
스팸봇 은 방문자를 악성 웹사이트로 보내기 위해 재택근무를 하는 동안 백만장자가 되겠다는 약속으로 댓글을 왜곡 합니다.
자동화된 봇 공격을 피하는 방법
웹사이트에서 Google reCAPTCHA와 같은 자동화된 봇 보호를 사용하여 이 WordPress 보안 실수를 피하세요.
5. 취약한 버전의 플러그인, 테마 또는 WordPress Core 사용
취약한 WordPress 플러그인 또는 테마는 가장 큰 WordPress 보안 실수입니다. 소프트웨어를 최신 상태로 유지하는 것은 모든 보안 전략의 필수적인 부분이며 여기에는 WordPress 코어, 테마 및 플러그인이 포함됩니다. 버전 업데이트는 버그 수정 및 새로운 기능만을 위한 것이 아닙니다. 업데이트에는 중요한 보안 패치도 포함될 수 있습니다. 해당 패치가 없으면 전화, 컴퓨터, 서버, 라우터 또는 웹사이트가 공격에 취약해집니다.
해커는 사람들이 업데이트하지 않는다는 것을 알고 있기 때문에 패치된 취약점을 표적으로 삼습니다(웹사이트의 플러그인 및 테마 포함). 취약점이 패치되는 날 공개적으로 공개하는 것은 업계 표준입니다. 취약점이 공개된 후 이 취약점은 소프트웨어의 오래되고 패치되지 않은 버전에 대한 "알려진 취약점"이 됩니다. 알려진 취약점이 있는 소프트웨어는 해커의 쉬운 표적이 됩니다.
해커는 쉬운 표적을 좋아합니다. 알려진 취약점이 있는 오래된 소프트웨어를 보유하는 것은 해커에게 단계별 지침을 전달하여 WordPress 웹사이트에 침입하는 것과 같습니다.
패치를 사용할 수 있지만 적용되지 않은 취약한 플러그인 또는 테마가 있는 것은 해킹된 WordPress 웹사이트의 가장 큰 원인입니다.
패치를 사용할 수 있지만 적용되지 않은 취약한 플러그인 또는 테마가 있는 것은 해킹된 WordPress 웹사이트의 가장 큰 원인입니다.
취약한 플러그인 및 테마 사용을 피하는 방법
취약한 소프트웨어의 WordPress 보안 실수를 피하기 위해 모든 플러그인과 테마를 업데이트하십시오.
6. 약한 사용자 보안
약한 사용자 보안은 주요 WordPress 보안 실수입니다. 간단히 말해서 암호가 약한 단일 WordPress 관리자는 귀하가 설정한 다른 모든 웹사이트 보안 조치를 약화시킬 수 있습니다. 그렇기 때문에 사용자 보안은 WordPress 보안 전략의 필수적인 부분입니다.
Verizon Data Breach Investigations Report에 따르면 직원의 70% 이상이 직장에서 비밀번호를 재사용합니다. 그러나 보고서에서 가장 중요한 통계는 "해킹 관련 침해의 81%가 도난 당했거나 취약한 암호를 이용했다"는 것입니다.
Splash Data에서 컴파일한 목록에서 모든 데이터 덤프에 포함된 가장 일반적인 비밀번호는 123456이었습니다. 데이터 덤프는 인터넷 어딘가에 덤프된 사용자 비밀번호로 채워진 해킹된 데이터베이스입니다. 123456이 데이터 덤프에서 가장 일반적인 비밀번호인 경우 웹사이트에서 얼마나 많은 사람들이 약한 비밀번호를 사용하고 있는지 상상할 수 있습니까?
해커의 도구는 점점 더 좋아지고 있으며 그 어느 때보다 빠르게 암호를 우회할 수 있습니다. 예를 들어 고성능 암호 해독 회사인 Terahash가 만든 차트를 살펴보겠습니다. 그들의 차트는 448x RTX 2080의 해시 스택 클러스터를 사용하여 암호를 해독하는 데 걸리는 시간을 보여줍니다.
기본적으로 WordPress는 MD5를 사용하여 WP 데이터베이스에 저장된 사용자 암호를 해시합니다. 따라서 이 차트에 따르면 Terahash는 거의 즉시 8자 암호를 해독할 수 있습니다. 그것은 매우 인상적일 뿐만 아니라 정말 무섭습니다.
설상가상으로 91%의 사람들이 비밀번호를 재사용하는 것이 좋지 않다는 것을 알고 있음에도 불구하고 59%의 사람들은 여전히 모든 곳에서 비밀번호를 재사용합니다! 이 사람들 중 많은 사람들이 데이터베이스 덤프에 나타난 것으로 알고 있는 암호를 여전히 사용하고 있습니다.
해커는 사전 공격이라고 하는 무차별 대입 공격을 사용합니다. 사전 공격은 데이터베이스 덤프에 나타난 일반적으로 사용되는 비밀번호로 WordPress 웹사이트에 침입하는 방법입니다. "컬렉션 #1? MEGA 호스팅에서 호스팅된 데이터 침해에는 1,160,253,228개의 고유한 이메일 주소 및 비밀번호 조합이 포함되었습니다. 그것은 b로 10억입니다. 이러한 종류의 점수는 사전 공격이 가장 일반적으로 사용되는 WordPress 비밀번호를 좁히는 데 실제로 도움이 됩니다.
약한 사용자 보안을 피하는 방법
약한 사용자 보안이라는 WordPress 보안 실수를 피하는 가장 좋은 방법은 강력한 암호 정책을 만들고 이중 인증을 사용하는 것입니다.
이중 인증은 두 가지 별도의 인증 방법을 요구하여 개인의 신원을 확인하는 프로세스입니다. Google은 블로그에서 이중 인증을 사용하면 자동화된 봇 공격을 100% 막을 수 있다고 공유했습니다.
7. 암호화되지 않은 통신(SSL 없음)
웹 사이트에서 통신을 암호화하지 않는 것은 심각한 WordPress 보안 실수입니다. 당사가 온라인 구매를 할 때마다 귀하의 브라우저와 온라인 상점 간에 통신이 이루어집니다. 예를 들어, 브라우저에 신용 카드 번호를 입력하면 브라우저는 해당 번호를 온라인 상점과 공유합니다. 상점에서 지불을 받은 후 구매가 성공했음을 알리도록 브라우저에 알립니다.
브라우저와 상점 서버 간에 공유되는 정보에 대해 염두에 두어야 할 한 가지는 정보가 전송되는 동안 여러 번 정차한다는 것입니다. 통신이 암호화되지 않은 경우 해커는 상점 서버의 최종 목적지에 도달하기 전에 신용 카드를 훔칠 수 있습니다.
암호화 작동 방식을 더 잘 이해하려면 구매 상품이 배송되는 방식을 생각해 보십시오. 온라인 구매의 배송 상태를 추적한 적이 있다면 주문한 상품이 집에 도착하기 전에 여러 번 멈춘 것을 보았을 것입니다. 판매자가 구매 상품을 제대로 포장하지 않은 경우 사람들이 구매한 상품을 쉽게 볼 수 있습니다.
암호화되지 않은 통신을 피하는 방법
웹사이트에서 통신을 암호화하려면 SSL 인증서가 필요합니다. WordPress 웹사이트에 SSL이 없는 경우 가장 먼저 해야 할 일은 호스팅 제공업체에 무료 SSL 인증서 및 구성을 제공하는지 문의하는 것입니다.
Cloudflare는 WordPress 웹사이트를 위한 무료 공유 SSL 인증서를 제공합니다. 공유 SSL 인증서를 원하지 않고 명령줄에 익숙하다면 CertBot이 탁월한 선택입니다. Certbot은 Let's Encrypt를 사용하여 무료 SSL 인증서를 생성할 뿐만 아니라 인증서 갱신을 자동으로 관리합니다.
8. 불충분한 보안 로깅 및 모니터링
웹 사이트의 불충분한 로깅은 웹 애플리케이션 보안 위험의 OWASP 상위 10위에 들 정도로 충분히 큰 WordPress 보안 실수입니다. 로깅은 WordPress 보안 전략의 필수적인 부분입니다. 올바른 동작을 모니터링하면 공격을 식별 및 중지하고, 위반을 감지하고, 공격이 성공한 후 웹 사이트에 발생한 손상을 액세스 및 복구하는 데 도움이 됩니다.
불충분한 로깅 및 모니터링으로 인해 보안 침해 탐지가 지연될 수 있습니다. 대부분의 침해 연구에 따르면 침해를 감지하는 데 걸리는 시간이 200일 이상입니다! 그 시간 동안 공격자는 다른 시스템을 침해하고 더 많은 데이터를 수정, 훔치거나 파괴할 수 있습니다.
불충분한 로깅 및 모니터링으로 인해 보안 침해 탐지가 지연될 수 있습니다. 대부분의 침해 연구에 따르면 침해를 감지하는 데 걸리는 시간이 200일 이상입니다!
불충분한 로깅을 피하는 방법
이 WordPress 보안 실수를 방지하려면 웹 사이트에 보안 로깅을 추가하십시오. WordPress가 제공하는 일부 개발자 기능과 필터를 사용하여 로깅 시스템을 만들 수 있지만 보안 로그를 시작하는 가장 쉬운 방법은 WordPress 보안 플러그인을 설치하는 것입니다
9. 사용하지 않는 플러그인 및 테마
사용하지 않거나 비활성화된 플러그인과 테마가 웹사이트에 있는 것은 WordPress 보안의 주요 실수입니다. 웹사이트의 모든 코드는 해커의 잠재적 진입점입니다.
개발자는 플러그인 및 테마에서 JS 라이브러리와 같은 타사 코드를 사용하는 것이 일반적입니다. 불행히도 라이브러리가 제대로 유지 관리되지 않으면 공격자가 웹 사이트를 해킹하는 데 활용할 수 있는 취약점을 만들 수 있습니다.
플러그인 및 테마를 피하는 방법
WordPress 사이트에서 불필요한 플러그인과 테마를 제거하고 완전히 삭제하여 웹사이트의 액세스 포인트 및 실행 코드 수를 제한하십시오.
WordPress 사이트에서 불필요한 플러그인과 테마를 제거하고 완전히 삭제하여 웹사이트의 액세스 포인트 및 실행 코드 수를 제한하십시오.
또한 버려진 WordPress 플러그인을 사용하지 마십시오. WordPress 사이트에 설치된 플러그인이 6개월 이상 업데이트를 받지 못한 경우.
10. 신뢰할 수 없는 소스에서 소프트웨어 설치
신뢰할 수 없는 소스에서 소프트웨어를 설치하는 것은 WordPress 보안 실수를 만드는 빠른 방법 중 하나입니다. 상용 플러그인의 "nulled" 버전에 주의해야 합니다. 종종 이러한 무료 또는 대폭 할인된 프로 플러그인 버전에는 악성 코드가 포함되어 있습니다.
상용 플러그인의 "nulled" 버전에 주의해야 합니다. 종종 이러한 무료 또는 대폭 할인된 프로 플러그인 버전에는 악성 코드가 포함되어 있습니다.
맬웨어를 설치하는 경우 WordPress 사이트를 잠그는 방법은 중요하지 않습니다.
신뢰할 수 없는 출처의 소프트웨어를 피하는 방법
WordPress.org, 잘 알려진 상용 리포지토리 또는 평판 좋은 개발자로부터 직접 받은 소프트웨어만 설치해야 합니다.
WordPress.org, 잘 알려진 상용 리포지토리 또는 평판 좋은 개발자로부터 직접 받은 소프트웨어만 설치해야 합니다.
WordPress 플러그인 또는 테마가 개발자 웹사이트에 배포되지 않는 경우 플러그인을 다운로드하기 전에 실사를 수행하는 것이 좋습니다. 개발자에게 연락하여 무료 또는 할인된 가격으로 제품을 제공하는 웹 사이트와 어떤 식으로든 제휴되어 있는지 확인하십시오.
마무리: 상위 10개 WordPress 보안 실수 설명
보시다시피 잠재적인 WordPress 보안 실수가 많이 있습니다. 다행히 우리가 조금만 노력하면 모든 보안 실수를 쉽게 피할 수 있습니다.
간단한 WordPress 보안 체크리스트
대부분의 WordPress 보안 취약점은 WordPress 보안에 대한 사전 예방적 접근을 통해 완화할 수 있습니다. 요약하자면 다음은 따라야 할 간단한 WordPress 보안 체크리스트입니다.
- 1. 양질의 호스팅을 선택하십시오.
- 2. 백업 일정을 생성합니다.
- 3. 잘못된 로그인 시도 제한
- 4. 자동화된 봇 보호를 추가합니다.
- 5. 취약한 소프트웨어를 사용하지 마십시오.
- 6. 강력한 암호와 2fa를 사용하십시오.
- 7. SSL로 통신을 암호화합니다.
- 8. WordPress 보안 로깅을 추가합니다.
- 9. 사용하지 않는 플러그인 및 테마를 제거합니다.
- 10. 신뢰할 수 있는 출처의 소프트웨어만 설치하십시오.
iThemes 보안 프로 받기
Michael은 매주 WordPress 취약점 보고서를 작성하여 사이트를 안전하게 보호합니다. iThemes의 제품 관리자로서 그는 iThemes 제품 라인업을 지속적으로 개선하는 데 도움을 줍니다. 그는 거대한 괴짜이며 기술, 오래된 및 새로운 모든 것에 대해 배우는 것을 좋아합니다. 마이클이 아내와 딸과 어울리고, 일하지 않을 때는 책을 읽거나 음악을 듣는 것을 볼 수 있습니다.
